CNIL nałożył administracyjną karę pieniężną w kwocie 105 tys. euro za naruszenia RODO i przepisów krajowych na firmę prowadzącą aplikację Neosurf, służącą do płatności elektronicznych. Dotyczyły one m.in. okresów przechowywania danych osobowych i stosowania plików cookies. Przedstawiamy motywy decyzji francuskiego organu nadzorczego.
Firma NS CARDS FRANCE jest twórcą aplikacji Neosurf, a także strony internetowej neosurf.com. Służą one do dokonywania płatności elektronicznej. W 2021 r. w spółce zostały przeprowadzone kontrole, w trakcie których stwierdzono liczne naruszenia RODO i krajowych przepisów o ochronie danych osobowych.
Przede wszystkim zarzucono stosowanie niewłaściwego okresu przechowywania danych osobowych. Jak się okazało, konta użytkowników aplikacji lub strony internetowej były aktywne przez 10 lat. Po tym okresie konta wygasały, ale dane osobowe użytkowników nadal były przechowywane. De facto dane osobowe użytkowników Neosurf były więc przechowywane bezterminowo, co oczywiście stanowiło naruszenie art. 5 ust. 1 lit. e RODO.
Nieprawidłowości dotyczyły także realizacji obowiązku informacyjnego RODO. Administrator wprawdzie udostępnił politykę prywatności zarówno na stronie internetowej jak i w aplikacji Neosurf. Niemniej jednak w ocenie francuskiego organu nadzorczego była ona nieaktualna i niekompletna. Zarzucono także, że zredagowano ją w języku angielskim, podczas gdy większość użytkowników była francuskojęzyczna.
Klauzula informacyjna RODO powinna być sporządzona, a w razie czego przetłumaczona na język zrozumiały dla odbiorców np. użytkowników aplikacji.
Kolejne naruszenie dotyczyło stosowanych środków bezpieczeństwa danych osobowych. Dotyczyły one polityki haseł. W ocenie CNIL przyjęty przez administratora stopień złożoności haseł dostępu do strony WWW i aplikacji Neosurf był niewystarczający. Używano też przestarzałej funkcji skrótu SHA-1. Co więcej, w bazie danych przechowywano prawie 50 tys. haseł w postaci zwykłego tekstu i powiązanych z adresem e-mail i identyfikatorami użytkowników. Taki sposób przechowywania haseł generował duże ryzyko ich wycieku.
Wreszcie stwierdzone zostały nieprawidłowości dotyczące stosowania przez administratora plików cookies. Firma wykorzystywała pliki cookies Google Analytics na urządzeniu końcowym użytkownika bez jego zgody, co było niezgodne z przepisami krajowymi. Poza tym przy zakładaniu konta oraz podczas łączenia się z serwisem i aplikacją, firma korzystała z mechanizmu reCAPTCHA. Stosowanie tego mechanizmu powodowało gromadzenie danych i przekazywanie ich do Google, o czym użytkownicy nie byli informowali i tym bardziej nie wyrażali na nie zgody.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
